Principios básicos de Ranger
Apache Ranger ofrece un marco de gestión de seguridad centralizado y admite autorización y auditoría unificadas. Gestiona el control de acceso de grano fino sobre Hadoop y componentes relacionados, como Storm, HDFS, Hive, HBase y Kafka. Puede utilizar la consola de interfaz de usuario de web de front-end proporcionada por Ranger para configurar políticas que controlen el acceso de los usuarios a estos componentes.
Figura 1 muestra la arquitectura de Ranger.
Nombre de la conexión |
Descripción |
---|---|
RangerAdmin |
Proporciona una API de WebUI y RESTful para gestionar políticas, usuarios y auditorías. |
UserSync |
Sincroniza periódicamente la información de usuarios y grupos de usuarios de un sistema externo y escribe la información en RangerAdmin. |
TagSync |
Sincroniza periódicamente la información de las etiquetas del servicio externo de Atlas y escribe la información de las etiquetas en RangerAdmin. |
Principios de Ranger
- Complementos de Ranger
Ranger proporciona complementos de control de acceso basado en políticas (PBAC) para reemplazar los complementos de autenticación originales de los componentes. Los complementos de Ranger se desarrollan en base a la interfaz de autenticación de los componentes. Los usuarios establecen políticas de permisos para los servicios especificados en la interfaz de usuario web de Ranger. Los complementos de Ranger actualizan periódicamente las políticas de la RangerAdmin y las almacenan en caché en el archivo local del componente. Cuando se necesita autenticar una solicitud de cliente, el complemento Ranger hace coincidir el usuario incluido en la solicitud con la política y, a continuación, devuelve un mensaje de aceptación o rechazo.
- Sincronización de usuarios de UserSync
UserSync sincroniza periódicamente datos de LDAP/Unix a RangerAdmin. En el modo de seguridad, los datos se sincronizan desde LDAP. En modo sin seguridad, los datos se sincronizan desde Unix. De forma predeterminada, se utiliza el modo de sincronización incremental. En cada período de sincronización, UserSync solo actualiza usuarios y grupos de usuarios nuevos o modificados. Cuando se elimina un usuario o un grupo de usuarios, UserSync no sincroniza el cambio con RangerAdmin. Es decir, el usuario o grupo de usuarios no se elimina del RangerAdmin. Para mejorar el rendimiento, UserSync no sincroniza los grupos de usuarios a los que RangerAdmin no pertenece ningún usuario.
- Auditoría unificada
Los complementos de Ranger pueden grabar registros de auditoría. Actualmente, los registros de auditoría se pueden almacenar en archivos localesBy default, audit logs are stored in local files. To enable Elasticsearch storage, enable it by following the instructions provided in the guide and query the audit details of the corresponding components on the Audit tab page of Ranger WebUI.
- Alta confiabilidad
Ranger admite dos RangerAdmins que funcionan en modo activo/activo. Dos RangerAdmins prestan servicios al mismo tiempo. Si cualquiera de los RangerAdmin es defectuoso, Ranger sigue trabajando.
- Alto rendimiento
Ranger proporciona la capacidad de balanceo de carga. Cuando un usuario accede a Ranger WebUI usando un navegador, el balanceo de carga selecciona automáticamente el RangerAdmin con la carga más ligera para proporcionar servicios.